全部产品
Search

搜索本产品

    云企业网:云连接网授权

    文档中心

    云企业网:云连接网授权

    更新时间:Dec 14, 2023

    云连接网CCN(Cloud Connect Network)实例被连接到转发路由器实例后,云连接网实例关联的本地网络可以通过转发路由器实例访问PrivateZone服务,在本地网络访问PrivateZone服务前,您需要为云连接网实例授权。本文介绍在不同场景下如何为云连接网实例授权。

    场景一:所有实例的账号相同

    云连接网-场景一-架构图

    如上图所示,云连接网实例、部署了PrivateZone服务的专有网络VPC(Virtual Private Cloud)实例和转发路由器实例属于同一个阿里云账号。在此场景下,您可以在云企业网管理控制台直接对云连接网实例授权。各个实例所属账号ID如下表所示。

    资源

    资源所属账号ID

    转发路由器实例

    253460731706911258

    专有网络实例

    253460731706911258

    云连接网实例

    253460731706911258

    1. 登录云企业网管理控制台
    2. 云企业网实例页面,找到目标云企业网实例,单击目标实例ID。

    3. 基本信息 > 转发路由器页签,根据PrivateZone服务关联的专有网络实例的地域,单击该地域的转发路由器实例ID。

    4. 在转发路由器实例详情页面,单击Private Zone页签,然后单击点击授权。在云资源访问授权页面,单击同意授权

      云连接网授权

      说明

      只有在第一次设置访问PrivateZone服务时需要对智能接入网关进行授权。授权完成后,连接到转发路由器实例的云连接网(智能接入网关的组成部分)实例即被允许访问PrivateZone服务。

      授权后,系统会为当前账号自动添加一个名称为AliyunSmartAGAccessingPVTZRole的RAM角色。您可以在访问控制管理控制台身份管理 > 角色页面,搜索角色并查看角色信息。查看AliyunSmartAGAccessingPVTZRole角色

    场景二:云连接网实例的账号不同

    云连接网授权-场景二-架构图

    如上图所示,转发路由器实例和部署了PrivateZone服务的专有网络实例属于同一个阿里云账号,云连接网实例属于另一个阿里云账号。在此场景下,需要修改专有网络实例所属账号的授权策略。各个实例所属账号ID如下表所示。

    资源

    资源所属账号ID

    转发路由器实例

    253460731706911258

    专有网络实例

    253460731706911258

    云连接网实例

    271598332402530847

    1. 在专有网络实例所属账号中操作授权,允许同账号的云连接网实例访问PrivateZone服务。

      1. 使用专有网络实例所属账号登录云企业网管理控制台

      2. 云企业网实例页面,找到目标云企业网实例,单击目标实例ID。

      3. 基本信息 > 转发路由器页签,根据PrivateZone服务关联的专有网络实例的地域,单击该地域的转发路由器实例ID。

      4. 在转发路由器实例详情页面,单击Private Zone页签,然后单击点击授权。在云资源访问授权页面,单击同意授权

        说明

        只有在第一次设置访问PrivateZone服务时需要对智能接入网关进行授权。授权完成后,连接到转发路由器实例的云连接网(智能接入网关的组成部分)实例即被允许访问PrivateZone服务。

    2. 修改专有网络实例所属账号下AliyunSmartAGAccessingPVTZRole角色的信任策略,允许跨账号的云连接网实例访问PrivateZone服务。

      1. 使用专有网络实例所属账号登录访问控制管理控制台

      2. 在左侧导航栏,选择身份管理 > 角色

      3. 角色页面的搜索框内输入AliyunSmartAGAccessingPVTZRole,搜索该角色,然后单击角色名称。

      4. 在角色详情页面,单击信任策略页签,然后单击编辑信任策略

      5. Service中添加一条记录:"云连接网实例所属阿里云账号ID@smartag.aliyuncs.com",然后单击保存信任策略

        云连接网授权-场景二

    场景三:转发路由器实例的账号不同

    云连接网授权-场景三-架构图

    如上图所示,云连接网实例和部署了PrivateZone服务的专有网络实例属于同一个阿里云账号,转发路由器实例属于另一个阿里云账号。在此种场景下,需要在专有网络实例所属的账号中创建授权策略。各个实例所属账号ID如下表所示。

    资源

    所属账号ID

    转发路由器实例

    271598332402530847

    专有网络实例

    253460731706911258

    云连接网实例

    253460731706911258

    1. 使用专有网络实例所属账号登录访问控制管理控制台

    2. 在左侧导航栏,选择身份管理 > 角色

    3. 角色页面,单击创建角色

    4. 创建角色面板,根据以下信息创建角色。

      1. 选择类型向导面板,选择阿里云服务,然后单击下一步

      2. 配置角色向导面板,配置以下信息,然后单击完成

        PVZ授权场景三图片

        • 角色类型:选择普通服务角色

        • 角色名称:输入AliyunSmartAGAccessingPVTZRole

        • 选择授信服务:选择智能接入网关

        更多信息,请参见创建可信实体为阿里云服务的RAM角色

      3. 创建角色面板,单击关闭,回到角色页面。

    5. 角色页面,通过搜索框搜索新建的AliyunSmartAGAccessingPVTZRole角色,然后单击角色名称。

    6. 权限管理页签,单击新增授权,进入新增授权面板。

    7. 系统策略下的搜索框中输入pvtz关键字,找到AliyunPvtzReadOnlyAccess权限策略,然后单击权限策略名称,添加只读访问PrivateZone服务的权限,然后单击确定

      添加只读访问PrivateZone服务的权限

    8. 新增授权面板,单击完成,回到角色详情页面。

    9. 在角色详情页面,单击信任策略页签,查看授权信息。

      场景三:查看信任策略

    场景四:所有实例的账号均不相同

    云连接网授权-场景四-架构图

    如上图所示,云连接网实例、部署了PrivateZone服务的专有网络实例、转发路由器实例的账号都不相同。在此场景下,需要完成两个授权任务。 各个实例所属账号ID如下表所示。

    资源

    所属账号ID

    转发路由器实例

    253460731706911258

    专有网络实例

    283117732402483989

    云连接网实例

    271598332402530847

    1. 参见场景三的方法,在专有网络实例所属的账号中创建一个角色并完成授权。

    2. 参见场景二的方法,在专有网络实例所属的账号中添加对云连接网实例的授权。

    如果有多个云连接网实例且云连接网实所属的阿里云账号都不相同,您只需要将所有要访问PrivateZone服务的云连接网实例添加到授权策略中即可,如下图所示。

    资源

    所属账号ID

    转发路由器实例

    253460731706911258

    专有网络实例

    283117732402483989

    云连接网实例一

    271598332402530847

    云连接网实例二

    244831332402557259

    云连接网实例三

    287683832402436789

    云连接网授权-场景四

    后续步骤

    访问PrivateZone服务